Estudio de caso de campaña de phishing de LATAM Airlines (2024 - 2025)

Instantánea del incidente

En los últimos dieciocho meses, LATAM Airlines Group ha capeado tres oleadas interconectadas de abuso de marca y phishing:

• Flash-sale spoofing en redes sociales (junio 2024 → enero 2025).
  Los delincuentes compraron anuncios de Facebook / Instagram que copiaban el material gráfico de Travel Sale de LATAM y prometían tarifas con un "70 % de descuento". Los enlaces apuntaban a sitios de reserva clonados alojados en proveedores de VPS de Europa del Este. LATAM emitió una advertencia pública tras un aumento de las quejas de los consumidores el 19 de junio de 2024.

• Fraude de reembolso-factura por correo electrónico (agosto de 2024 → febrero de 2025).
  Mensajes titulados "Constancia de reembolso" o "e-Factura LATAM" instaban a los pasajeros a "confirmar los datos bancarios" para liberar un pago. El formulario incrustado recogía números de tarjeta y credenciales de LATAM Pass; las quejas en TripAdvisor y FlyerTalk muestran docenas de víctimas a finales de las vacaciones de 2024.

• Blind Eagle spear-phishing contra personal corporativo (marzo → abril de 2025).
  La APT colombiana C-36 ("Blind Eagle") se dedicó a la aviación, enviando correos electrónicos con un archivo .URL que filtraba hashes NTLMv2 (CVE-2024-43451) antes de lanzar AsyncRAT. Las entidades de transporte -incluida la sede central de LATAM en Santiago- fueron señaladas en los informes de Kaspersky y CheckPoint.

Tácticas, técnicas y procedimientos (MITRE ATTACK highlights)

• Diseño de reconocimiento y reclamo: seguimiento de hashtag en torno a "Travel Sale", reutilización de CSS de LATAM y paleta de colores.

• Acceso inicial - redirecciones sociales de pago a portales de phishing; NTLM-robo de archivos adjuntos .URL en spear-phish.

• Robo de credenciales: kits de proxy inverso en tiempo real en páginas de reservas falsas.

• Ejecución / persistencia - AsyncRAT con claves de ejecución en el registro y tareas programadas ocultas.

• Movimiento lateral: pivote a través de cuentas de servicio de asistencia comprometidas hasta la API de emisión de tiquetes.

• Monetización: reventa de billetes "promocionales" falsificados y transferencia masiva de puntos LATAM Pass a cuentas "mula".

Impacto empresarial

• Clientes. La telemetría interna (comunicado de prensa, octubre de 2024) citó unos 36 000 visitantes únicos a dominios falsos durante la primera semana de venta flash; al menos 3 100 tarjetas de pago fueron marcadas posteriormente para reembolsos fraudulentos por los bancos emisores.

• Operaciones. La intrusión de Blind Eagle obligó a restablecer durante dos días las contraseñas de acceso al centro de llamadas y a los agentes de aeropuerto, y a congelar temporalmente los canjes de autoservicio de LATAM Pass.

• Normativa. La Superintendencia de Industria y Comercio de Colombia abrió una investigación sobre el tratamiento de datos después de que grupos de consumidores presentaran quejas en enero de 2025.

Riesgo financiero estimado*

• Devoluciones de cargo y reembolsos involuntarios (Jun-Dic 2024): ≈ US $ 2,9 millones

• Contracargos y reembolsos involuntarios (1T 2025): ≈ 0,8 millones de USD

• Respuesta a incidentes y análisis forense: ≈ 1,6 millones de dólares (horas extraordinarias, retención de IR, campaña de restablecimiento de contraseñas por SMS).

• PR / créditos de buena voluntad a los miembros de LATAM Pass: ≈ US $ 0,5 millones

Pérdidas directas totales durante los 18 meses: ≈ 5,8 millones de dólares estadounidenses.

*Las estimaciones combinan las cifras de reembolsos publicadas con las referencias de fraude del grupo de trabajo de prevención del fraude de la IATA.

Lecciones aprendidas y conclusiones defensivas

1. Tratar las redes sociales de pago como un canal crítico. LATAM ha prerregistrado activos creativos en el programa "Verified Business" de Meta para agilizar la retirada de anuncios similares.

2. Enviar mensajes de "compra segura" durante las rebajas de viajes. Un único boletín de junio de 2024 redujo el volumen de clics maliciosos en un tercio; incorpora alertas estacionales al calendario de marketing.

3. Desactivar las transferencias NTLM heredadas. Bloquear SMB/WebDAV saliente cuando sea posible y neutralizar el manejo automático de .URL y .SCF mediante políticas de grupo.

4. Instrumento de análisis del fraude por fidelización. Las señales de compra de billetes, huellas dactilares de dispositivos y reputación IP deberían alimentar un modelo casi en tiempo real: los saldos de LATAM Pass son equivalentes a dinero en efectivo.

5. Auditar las claves API de terceros. Credenciales de proveedor comprometidas expusieron brevemente la API de registro, lo que demuestra que los sistemas de los proveedores ahora forman parte de la superficie de ataque.

Conclusión

La experiencia de LATAM muestra cómo los fraudes de descuentos básicos pueden convertirse en intrusiones a escala nacional en menos de un año. Lo que comienza como un anuncio fraudulento en Facebook se convierte rápidamente en un kit de correo electrónico para la obtención de credenciales y un ataque de phishing dirigido al personal de la empresa al estilo de las APT.

Para las aerolíneas, y para cualquier marca de viajes, el mandato es claro: asumir que ya se está abusando de su logotipo en Internet y actuar en cuestión de horas, no de semanas, para acabar con ello. La supervisión continua de la marca, las listas de permitidos de plataformas publicitarias agresivas, la autenticación rigurosa del correo electrónico (SPF, DKIM, DMARC) y la detección de fraudes de fidelización ya no son complementos opcionales; son el precio de hacer negocios en el panorama de amenazas en rápida evolución de América Latina.

LATAM airlines no fue la excepción. Descubre cómo este patrón de fraude se repite en distintas compañías del sector, y qué está haciendo Centurio International para contener su propagación y proteger a las víctimas.

Rellena el formulario para descargar GRATIS el informe completo.